Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Servers en routers getroffen door OpenSSL-lek

Door: | 09 april 2014 11:52

None
Internet & Thuis

OpenSSL, de meestgebruikte versleutelingssoftware voor beveiligde internetverbindingen, is lek. De zogeheten Heartbleed-bug zorgt voor een massale update- en 'opnieuw-instel'-golf. Niet alleen bij webservers maar ook bij routers, modems en andere apparatuur en diensten.

De impact van het zeer ernstige Heartbleed-lek in OpenSSL gaat veel verder dan webservers, al zijn die in eerste instantie het laaghangende fruit voor kwaadwillenden. Meteen werd duidelijk dat ook talloze pc's die op opensource besturingssystemen draaien kwetsbaar zijn, en datzelfde geldt voor ontelbaar veel andere hardware, zoals routers, modems, mailservers en appliances.

Geen controle over routers

Het gros van deze apparaten draait een versie van (embedded) Linux en OpenSSL. Voor de gemiddelde gebruiker is het echter ondoenlijk om na te gaan of hun router kwetsbaar is, constateren experts bij The Register. Het is geheel aan leveranciers en providers om deze apparaten te updaten indien nodig.

Voor webservers is er een handige tool beschikbaar, die iedereen kan gebruiken. Hieruit bleek dat tientallen van 's werelds grootste sites en webdiensten kwetsbaar waren, waaronder Yahoo, die plaintext usernames en wachtwoorden lekte, zo bevestigde onder meer Fox-IT en SurfRight. Dinsdagavond Nederlandse tijd sloot Yahoo eindelijk het gat, na een etmaal data bloeden. Ook wachtwoorddienst LastPass was kwetsbaar, maar volgens het concern is data niet in gevaar geweest door een extra laag van encryptie.

Wachtwoorden wijzigen

Ondanks alle terechte ophef en paniek is het overigens nog niet duidelijk in welk scenario Heartbleed ook daadwerkelijk private keys lekt. Door de bug wordt er bij elke aanvraag telkens 64 KB aan data uit het geheugen gelekt, maar de kans dat hier een complete sleutel bij zit lijkt heel klein en hangt af van de configuratie van het onderliggende systeem.

Eindgebruikers wordt aangeraden hun wachtwoord bij diensten die kwetsbaar waren te wijzigen, maar pas nadat er een nieuwe sleutel en een nieuw SSL-certificaat is.

Ook de bekende techsite Ars Technica meldt dat hun webserver kwetsbaar was voor Heartbleed en er gebruikersnamen en wachtwoorden zijn gelekt. Lezers moeten hun wachtwoord wijzigen.

Bron: Webwereld

0 Reacties op: Servers en routers getroffen door OpenSSL-lek

  • Om te reageren moet je ingelogd zijn. Nog geen account? Registreer je dan en praat mee!
  • Er zijn nog geen reacties op dit artikel.

Wanneer je een reactie plaatst ga je akoord
met onze voorwaarden voor reacties.